Intervention de Kamel Gadouche

La seule limite que je vois au contrôle ex ante, c'est la question du délai, qui pousse certains utilisateurs à demander que le contrôle se fasse a posteriori. Dans ce cas, la sortie de données demandée est immédiate. Une copie en est conservée afin d'assurer la traçabilité. Les sorties sont ensuite vérifiées de manière aléatoire, par sondages. L'inconvénient de ce dispositif, notamment mis en oeuvre au Danemark, c'est que, lorsqu'un fichier de données confidentielles est sorti, il se retrouve exposé et qu'il faut réagir rapidement pour contacter l'utilisateur et prendre les mesures qui s'imposent. Cela étant, lorsque le contrôle s'opère a posteriori, nous limitons, à l'instar des Danois, à la fois la taille et la fréquence des sorties, en fonction de la taille de la base de données. Il est impossible de sortir la totalité d'une base, dont ne pourront être extraits qu'un à deux mégaoctets de données – entre cinq et dix, si la base est vraiment importante –, le nombre de sorties étant limité, en fonction des utilisateurs, à quatre par jour ou à une sortie toutes les deux heures.

En ce qui concerne les relations contractuelles avec les différents acteurs, il faut garder à l'esprit que le CASD ne réalise aucune étude et que sa mission quasi unique est de mettre à disposition des utilisateurs les données qui lui ont été confiées. Nous sommes, en quelque sorte, un tiers de confiance, ce qui signifie que nous sommes liés contractuellement avec les détenteurs des données, par l'intermédiaire d'une convention qui spécifie les modalités de mise à disposition de ces données ainsi que les modalités d'habilitation. En tant que tel, le CASD ne procède à aucune habilitation, lesquelles dépendent soit du producteur de données soit de la loi, par exemple de la loi de 1951.

En aval, nous sommes liés aux utilisateurs par un triple contrat : en premier lieu, un contrat d'hébergement, qui stipule que le boîtier d'accès ne peut être connecté n'importe où et que l'accès à la bulle doit se faire à partir de l'établissement signataire du contrat, qui garantit des conditions d'hébergement très strictement définies – boîtier installé dans un bureau fermé, écran visible par le seul utilisateur… En second lieu, est signé un contrat de financement, que nous avons déjà évoqué, et, enfin, un contrat d'utilisation, qui spécifie les conditions de consultation auxquelles doit se conformer l'utilisateur.